在 Jenkins 中管理 secret
-
接下来我们将讨论在 Jenkins 中保护 secret 的一些可用选项。一起来看看将 secrets 安全地注入 Jenkins 流水线的一些最佳实践。
一次性密码 (OTP):一次性密码通过确保用户名/密码组合不能多次使用来帮助防止用户帐户被盗用。虽然该帐户始终保留用户名,但用户每次登录时都会收到一个 OTP。这可以保证 Jenkins 管理员和用户帐户的安全,防止密钥信息泄露。
避免硬编码密钥:删除已硬编码到 CI/CD 配置和 Jenkinsfiles 中的密钥。这样能够让敏感凭证信息不出现在流水线中,避免恶意行为者访问和利用。
将密钥存储在多个 Jenkins 文件:将密钥存储在多个文件中有助于实施凭据最少暴露原则。这样可以让凭据用于尽可能少的应用程序和用户。
使用授权控制来管理密钥权限:开发团队应配置安全检查,以确保请求资源访问的应用程序具有有效应用程序的属性。这些应用程序需要根据 RBAC (Role-based Access Control)策略中分配的权限访问各种资源。
遵循最小权限原则:仅将权限授予需要访问流水线内密钥的应用程序。团队应始终如一地审核权限,确保在流水线的整个生命周期中最小权限原则得以实施和维护。
管理和存储密钥这一节我们将会介绍3个实际使用密钥的Jenkins和Akeyless密钥管理平台的基本例子:第一个例子是完全不安全的示例:使用纯文本环境变量来存储敏感凭据;第二个例子则是使用原生的Jenkins功能和插件来进行密钥管理;第三例子将会展示使用第三方工具来进行密钥管理的好处。
西南地区IT社群(QQ)
- 云南
- 【昆明网页设计交流吧】243627302
- 【昆明nodejs交流吧】 243626749
- 【VUE】838405306
- 【云南程序员总群】343606807
- 【昆明UI设计】104031254
- 【云南软件外包】15547313
- 贵州
- 【PHP/java源码/站长交流群】55692114
- 四川
- 【成都Java/JavaWeb交流】86669225
- 【vaScript+PHP+MySql】116270060
- 【UI设计/设计交流学习群】135794928
- 重庆
- 【诺基亚 JAVA游戏博物馆】 559479780
- 【PHP,Java,Python,C++接单】 442103442
- 西藏